标识库

对于某些应用程序，使用用户标识非常简单。 以一个 Windows 应用程序为例，它仅供单个组织中的用户访问而无需过多了解用户信息。 此应用程序可仅依靠 Kerberos（属于 Active Directory 域服务 (AD DS)）来对其用户进行身份验证，并传达有关他们的基本信息。 或者，以仅供 Internet 用户访问的应用程序为例。 此应用程序可仅要求每个用户提供用户名和密码，并将此用户信息存储在数据库中。

但是，对于大多数应用程序，使用用户标识则更为复杂。 以需要各用户的更多信息（比 Kerberos 或简单用户名和密码提供的信息更详细）的应用程序为例。 此应用程序必须从其他一些来源（如 AD DS）中获取此信息，或者自行存储此信息。 或者，以必须供组织内部员工和 Internet 用户访问的应用程序为例。 此应用程序必须同时支持基于 Kerberos 的登录以及基于用户名和密码的登录。 最后，假设应用程序必须供不同组织访问而无需单独登录。 无法通过 Kerberos 或用户名和密码登录正确实现此标识联合身份验证。

下图显示典型组织中的标识库问题。 正如您所见，需要强制用户单独登录才能访问用户自己域中的不同应用程序，访问其他域中的应用程序就更不用说了。

基于声明的标识提供了一种可在所有这些情况下使用的标识。 它基于广泛认可的可跨平台和组织边界使用的行业标准。 同时还在多个供应商的产品中得到广泛实现，并且便于开发人员使用。